web-dev-qa-db-fra.com

Comment récupérer les deux ports TCP et UDP avec Nmap?

J'ai besoin de récupérer les deux ports TCP et UDP dans le même scan avec Nmap de la manière la plus rapide possible. Je vais essayer de mieux l'expliquer. Si je utilisez la commande la plus courante:

nmap 192.168.1.1

Il récupère UNIQUEMENT TCP ports et il est vraiment rapide.

Si j'utilise la commande suivante:

nmap -sU 192.168.1.1

Il récupère UNIQUEMENT les ports UDP et il est assez rapide (enfin pas si rapide mais quand même).

Ma question: existe-t-il une combinaison des deux commandes? J'ai essayé:

nmap -sU -sS 192.168.1.1
nmap -sU -sT 192.168.1.1

Mais ils sont terriblement lents.

J'utilise Nmap 5.51, une suggestion?

tcpudpnmapport-scanning
24
raz3r

Comme vous l'avez vu, l'analyse UDP est lente car les ports ouverts/filtrés ne répondent généralement pas, donc nmap doit expirer puis retransmettre tandis que les ports fermés enverront une erreur inaccessible pour le port ICMP, ce que les systèmes limitent généralement la limite.

Vous pouvez ajouter le commutateur -T pour augmenter la vitesse de l'analyse, bien que cela puisse réduire la précision et faciliter la détection.

-T <0-5>: définir le modèle de synchronisation (plus haut est plus rapide)

-PN désactive l'élément d'analyse ping

Vous pouvez également analyser plus d'hôtes en parallèle,

ou réduisez le nombre de ports que vous analysez avec le commutateur -p ou --top-ports, qui analysera les ports au rapport le plus élevé trouvés dans le fichier nmap-services.

Si vous analysiez plusieurs hôtes, vous pouvez utiliser --Host-timeout pour ignorer les hôtes lents.

Concernant TCP, -sS devrait être plus rapide que -sT.

HTH!

17
Mark Hillick

Vous n'avez pas dit à quel point vos analyses sont lentes, mais je pense que vous pourriez bénéficier de jouer avec le --min-parallelism option, qui ajuste le nombre minimum de sondes en attente.

Je constate une réduction de 70% du temps de scan (par rapport au nu -sT-sU scans) comme ceci. Notez qu'il est possible de définir --min-parallelism trop élevé, de sorte que l'hôte (ou le réseau) ne peut pas mettre en mémoire tampon autant de requêtes simultanément.

[mpenning@Hotcoffee]$ Sudo nmap --min-parallelism 100 -sT -sU localhost

Starting Nmap 5.00 ( http://nmap.org ) at 2012-05-10 01:07 CDT
Interesting ports on localhost (127.0.0.1):
Not shown: 1978 closed ports
PORT     STATE         SERVICE
22/tcp   open          ssh
25/tcp   open          smtp
49/tcp   open          tacacs
53/tcp   open          domain
80/tcp   open          http
111/tcp  open          rpcbind
631/tcp  open          ipp
2003/tcp open          finger
2004/tcp open          mailbox
3389/tcp open          ms-term-serv
5901/tcp open          vnc-1
5910/tcp open          unknown
6001/tcp open          X11:1
7002/tcp open          afs3-prserver
53/udp   open|filtered domain
69/udp   open|filtered tftp
111/udp  open|filtered rpcbind
123/udp  open|filtered ntp
161/udp  open|filtered snmp
631/udp  open|filtered ipp
1812/udp open|filtered radius
1813/udp open|filtered radacct

Nmap done: 1 IP address (1 Host up) scanned in 1.54 seconds
[mpenning@Hotcoffee]$
8
Mike Pennington